SEGURANÇA

CIBERNÉTICA
P O L Í T I C A D A
I N S T I T U I Ç Ã O

OBJETIVO

Estabelecer as regras e diretrizes pertinentes à Segurança Cibernética e instituí-las junto aos processos que
possuem acesso as informações sensíveis de clientes e parceiros da RENASCENÇA DTVM LTDA.
(“Renascença”), em conformidade com o determinado pela Diretoria Executiva, pelas normas e legislação
vigentes.

APLICAÇÃO

As regras estabelecidas neste documento devem ser cumpridas pelos dirigentes, funcionários e prestadores
de serviços (“Colaboradores” / “Colaborador”) vinculados à Renascença.

REGRA(S) REGULAMENTAR(ES)

Resolução n° 2554, de 24 de setembro de 1998: Dispõe sobre a implantação e implementação de sistema de

controles internos.

Lei nº 12.846, de 01 de agosto de 2013 - Lei Anticorrupção: Dispõe sobre a responsabilização administrativa e
civil de pessoas jurídicas pela prática de atos contra a administração pública, nacional ou estrangeira, e dá
outras providências.

Resolução nº 4.658, de 26 de abril de 2018: Dispõe sobre a política de segurança cibernética e sobre os
requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação
em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar
pelo Banco Central do Brasil.

Instrução CVM nº 612, de 21 de agosto de 2019: Altera, acrescenta e revoga dispositivos à Instrução CVM nº
505, de 27 de setembro de 2011, e revoga a Instrução CVM nº 380, de 23 de dezembro de 2002.

DIRETRIZES GERAIS

As regras e diretrizes relacionadas ao Controle de Acesso (via Sistema Interno de Ocorrência), Segregação de
Funções, Classificação dos tipos de informações utilizadas na Instituição, Recursos Humanos (Contratação e
Movimentação de Pessoas), Propriedade Intelectual, Segurança Física, Uso dos Recursos de TI, Processo –
Mesa Limpa e Tela Limpa, devem ser seguidas de acordo com o determinado e publicado no Instrumento
Normativo Política de Segurança da Informação – Corporativa.
PROCESSO DE AUTENTICAÇÃO

As regras relacionadas à configuração de senha são determinadas, pela Área de TI– Telecom, Suporte e
Infraestrutura, que adota os requisitos mínimos em conformidade com o definido pelo Órgão Regulador.

Os colaboradores, prestadores de serviços de TI ou terceiros contratados de TI são responsáveis pela

confidencialidade de suas respectivas senhas, lembrando que as mesmas são individuais e intransferíveis.

O padrão de configuração está descrito e publicado no Instrumento Normativo Política de Segurança da

Informação – Corporativa.

CRIPTOGRAFIA – PROTEÇÃO DE CONTEÚDO

A Instituição utiliza mecanismo (s) de segurança e privacidade que torna (m) determinada (s) comunicação
(ões) ininteligível (eis) para quem não tem acesso aos códigos de “tradução” da mensagem.

A (s) chave (s) criptográfica (s) adotada (s), internamente, propõe (m) a proteção de todos os conteúdos
transmitidos, evitando a intercepção por parte de cibercriminosos, hackers e espiões, bem como garantem a
confidencialidade das mesmas contra-ataques ativos e passivos e, também, a autenticação de origem e
destino, característica obrigatória de um protocolo confiável para distribuição de chaves.

PREVENÇÃO E A DETECÇÃO DE INTRUSÃO

O monitoramento do tráfego de rede, identificação de atividades maliciosas e a geração de informações de

log sobre estas atividades, bem como o bloqueio e/ou a interrupção das mesmas é realizado pelo “Sistema
de Segurança”, que também dispara alerta sobre a atividade detectada.

Visando a segurança ativa na Instituição é utilizado o “Sistema de Segurança” que responde a atividade
suspeita, encerrando uma sessão de usuário ou reprogramando o firewall para bloquear o tráfego de rede de
uma fonte maliciosa suspeita, bem como para proteger contra softwares maliciosos.

As regras relacionadas ao Firewall de Aplicação – Proxy de Serviços, estão descritas e publicadas

internamente no Instrumento Normativo Política de Segurança da Informação – TI.

MECANISMOS DE RASTREABILIDADE

Tendo como processo extremamente importante para o bom funcionamento das operações e negócios, os
sistemas utilizados pela Instituição possuem dados e fatos organizados, ou seja, possuem o registro das
ações realizadas, bem como dispõem a capacidade de identificar de onde vem cada um dos registros,
alertas e problemas de uma determinada área.

Dentre os sistemas críticos da Instituição (relacionados às operações / negócios e indicados no PCN – Plano
de Continuidade de Negócios), que possuem o mecanismo de rastreabilidade e que garantem a segurança
das informações sensíveis, está o sistema homologado pela B3 “Sistema Integrado de Administração de
Corretoras (SINACOR) ”, que controla toda a movimentação do cliente na corretora, as operações de bolsa,
conta corrente e custódia de ativos.
MANUTENÇÃO DE CÓPIAS DE SEGURANÇA DOS DADOS E DAS INFORMAÇÕES

A Instituição possui regras definidas para a realização da manutenção de cópias de segurança dos dados e
das informações. Os dados são armazenados em fita, por meio de backup diário, guardado em outro local
físico. A cópia diária (backup) compõe todos os arquivos de dados do servidor (base de dados, planilhas,
textos, entre outros) e as últimas atualizações efetuadas (inclusões, alterações e exclusões de registros).

A regras sobre o tema estão descritas e publicadas no Instrumento Normativo Política de Segurança da
Informação – TI – Item Segurança dos Arquivos / Banco de Dados.

CONTROLE DE ACESSO E SEGMENTAÇÃO DA REDE DE COMPUTADORES

O processo consiste na separação de atribuições ou responsabilidades entre diferentes colaboradores,

especialmente as funções de comercialização, aprovação de operações, controle, contabilização, auditoria e
consulta que devem ser apartadas.

As regras e diretrizes estão descritas e publicadas no Instrumento Normativo Política de Segurança da

Informação – Corporativa – Item Controle de Acesso e o respectivo detalhamento está publicado no Manual
de Controles Internos - Concessão de Acessos aos Sistemas - Segregação de Funções.

FORMALIZAÇÃO E CONTROLES - GESTÃO DE INCIDENTES DE SEGURANÇA CIBERNÉTICA

Para a Instituição um incidente de segurança cibernética é definido como qualquer evento adverso,
confirmado ou sob suspeita, relacionado à segurança de sistemas de informação levando a perda de um ou
mais princípios básicos de Segurança da Informação: Confidencialidade, Integridade e Disponibilidade.

Entre os Tipos de Ataques de Incidentes Cibernéticos, estão:

Ataques por vírus/worms;

Violação de dados resultando em perdas de dados de clientes e/ou da Instituição;

Perda de dados devido à problemas de sistemas;

Ataque de phishing baseado em e-mail;

Alteração dos dados do cliente;

Exclusão ou corrupção de dados;

Violação de dados resultando em perda de IP / dados sigilosos;

Ataque de negação de serviço (DoS);

Roubo de dados de clientes e/ou da Instituição;

Roubo de IP / dados sigilosos, entre outros.

Os registros dos incidentes de segurança cibernética, os planos de ações e de resposta, bem como o
relatório anual, devem ser executados por meio do Sistema Interno de Ocorrência. Esse processo deve ser
registrado de forma ágil e clara, visando a documentação do apontamento e da resolução da falha
detectada.

O Sistema Interno de Ocorrência, contempla as exigências descritas na Resolução nº 4.658 de 26 de abril de

2018 do BACEN.
 A OCORRÊNCIA SERÁ • INTERRUPÇÃO DE UM SERVIÇO DE TI •. 5 EXTREMAMENTE GRAVE.

RIGOROSAMENTE CLASSIFICADA . .•. REDUÇÃO DA QUALIDADE DE UM •. 4 MUITO GRAVE.

•. SYSTEM (OTRS) - MÓDULO 
“MUDANÇAS ITSM”. SERVIÇO TI. •. 3 GRAVE.

•. FALHA DE CONFIGURAÇÃO, •. 2 POUCO GRAVE.

ENTRE OUTROS. •. 1 SEM GRAVIDADE.

REGISTRO PRÉ-ANÁLISE CATEGORIZAÇÃO GRAVIDADE RELEVÂNCIA

Visando a priorização para a resolução de incidentes, devem

TRATAMENTO ser utilizados os critérios estabelecidos na Matriz de
E CONTROLE DE INCIDENTES – ÁREA DE TI
Prioridades

RESOLUÇÃO E
FECHAMENTO DIAGNÓSTICO INVESTIGAÇÃO
RECUPERAÇÃO

•. CONFERÊNCIA DOS DADOS •. UTILIZANDO RECURSOS INTERNOS E/OU

INFORMADOS NO SIST. OTRS.
•. LIÇÕES APRENDIDAS.
•. REGISTRO DO FECHAMENTO
APÓS A IDENTIFICAÇÃO DA
DE  PARCEIROS.
GRAVIDADE É POSSÍVEL
COMPREENDER QUAIS SERÃO AS ORDEM DOS EVENTOS E FATOS.
•. EXECUÇÃO DE TESTES, EVIDÊNCIAS E
ESTRATÉGIAS A SEREM TOMADAS
VALIDAÇÕES.

Para cada incidente registrado deve ser analisada e definida a respectiva

GRAVIDADE “Priorização / Gravidade”, se o incidente for extremamente grave,
URGÊNCIA = 5
TENDÊNCIA urgentíssimo e com altíssima tendência a piorar com o tempo o mesmo
deve receber a pontuação conforme descrito a seguir:

NOTA GRAVIDADE URGÊNCIA TENDÊNCIA

AGIR AGRAVA
5 MUITO ALTA
IMEDIATAMENTE RAPIDAMENTE

AGRAVA
4 ALTA AGIR COM URGÊNCIA
EM POUCO TEMPO

AGIR O QUANTO
AGRAVA NO MÉDIO
3 NORMAL ANTES – CURTO
PRAZO
PRAZO

AGRAVA NO LONGO
2 BAIXA PODE AGUARDAR
PRAZO

SEM PRESSA PARA

1 MUITO BAIXA NÃO AGRAVA
AÇÃO
MONITORAMENTO CONTÍNUO E DETECÇÃO DE ATAQUES CIBERNÉTICOS

A Área de Tecnologia da Informação deve efetuar o monitoramento contínuo, atentando-se à detecção

de ataques cibernéticos em tempo hábil.

O Programa de Segurança Cibernética instituído deve ser revisado anualmente ou mesmo antes desse
período, caso seja necessário, devendo ser testado, por meio de:

Avaliação de possíveis vulnerabilidades em relação à ataques cibernéticos e a identificação de novos riscos

cibernéticos;

Verificação da necessidade de aperfeiçoar as regras, procedimentos e controles internos existentes;

RELATÓRIO – REGISTRO DE RESPOSTA A INCIDENTES AO BANCO

CENTRAL E À SUPERINTENDÊNCIA DE RELAÇÕES COM O MERCADO E
INTERMEDIÁRIOS (SMI)

RELATÓRIO AO BANCO CENTRAL

A Área de Tecnologia da Informação – Segurança da Informação deve preencher o relatório anual sobre a
implementação do plano de ação e de resposta a incidentes, com data-base de 31/dezembro. É
imprescindível a apresentação do respectivo relatório, à Diretoria Executiva, até 31 de março do ano seguinte
ao da data-base. É importante ressaltar que, o respectivo Relatório deve ser executado por meio do Sistema
Interno de Ocorrência.

RELATÓRIO À SUPERINTENDÊNCIA DE RELAÇÕES COM O MERCADO E INTERMEDIÁRIOS

(SMI)

A Área de Tecnologia da Informação deve elaborar o Relatório contendo no mínimo:

Descrição do incidente e das medidas tomadas, informando o impacto gerado pelo incidente sobre a
operação da Instituição e seus reflexos sobre os dados dos clientes;

Os aperfeiçoamentos de controles identificados com o objetivo de prevenir, monitorar e detectar a

ocorrência de incidentes de segurança cibernética, se for o caso.

O Relatório deve ficar à disposição da SMI (cópia):

Das comunicações realizadas com seus clientes, se houver;

Dos relatórios internos de investigação produzidos sobre a análise do incidente e as conclusões dos exames

efetuados.
COMUNICAÇÃO TEMPESTIVA AO BANCO CENTRAL E À SUPERINTENDÊNCIA DE RELAÇÕES
COM O MERCADO E INTERMEDIÁRIOS (SMI)

COMUNICADO AO BANCO CENTRAL

Conforme a Resolução nº 4.658 de 2018, deve ser realizada a comunicação tempestiva ao Banco Central das
ocorrências de incidentes relevantes e das interrupções de serviços relevantes (incidentes e serviços:
somente os que configurem uma situação de crise pela Instituição) bem como das providências para
reinício das atividades.

É imprescindível que esse tipo de situação seja, também, devidamente registrado no Sistema Interno de
Ocorrência.

COMUNICADO À SUPERINTENDÊNCIA DE RELAÇÕES COM O MERCADO E INTERMEDIÁRIOS (SMI)

Conforme a Instrução CVM nº 612 de 2019, deve ser realizada a comunicação tempestiva à SMI das
ocorrências de incidentes. O comunicado deve ser composto por:

Descrição do incidente, incluindo indicação do dado ou informação sensível afetada;

Avaliação sobre o número de clientes potencialmente afetados;

Medidas já adotadas pelo intermediário ou as que pretende adotar;

Tempo consumido na solução do evento ou prazo esperado para que isso ocorra;

Qualquer outra informação considerada importante.

É imprescindível que esse tipo de situação seja, também, devidamente registrado no Sistema Interno de
Ocorrência.

COMUNICAÇÃO AO CLIENTE - OCORRÊNCIA DE INCIDENTE DE CIBERSEGURANÇA

A Instituição deve comunicar ao cliente em caso de identificação de um incidente de cibersegurança em seu

sistema, devendo se colocar à disposição para responder eventuais perguntas por meio dos canais exclusivos
de atendimento.

CUIDADOS DE SEGURANÇA NA COMUNICAÇÃO DE DADOS E VOZ

Por as mesas de operações tratarem diretamente com clientes, as mesmas estão sujeitas à necessidade de
validação de termos dos negócios fechados e devem ter suas linhas telefônicas gravadas, visando o registro e
o atendimento à exigência regulatória. Os colaboradores envolvidos neste processo, devem estar cientes
dessa exigência.

A gravação realizada deve ser arquivada em formato digital pelo prazo mínimo de 05 (cinco) anos. Para mais
informações sobre o tema, verificar as regras publicadas na Política Gravação de Voz.
PROTEÇÃO E REVISÃO DE REGISTRO DE EVENTOS (LOGS)

Os sistemas utilitários como gerenciador de banco de dados e outras ferramentas de gestão de rede,
especialmente as que acessam dados em Produção, geram o Registro de Operações, é fundamental que os
logs gerados sejam protegidos de alteração e deleção. Deve ser realizada a revisão periódica dos mesmos,
quer diretamente, quer usando rotina de extração de operações pontuais com software de extração e
análise de dados.

Para manuseio, troca e armazenamento de dados não deve ser permitido ao colaborador a extração direta
de informações, sem que seja formalizado um pedido, e aprovado pela Diretoria de Operações e/ou Diretoria
Administrativa e TI. Para garantir que esta restrição seja efetiva, os dispositivos de leitura e gravação USB são
bloqueados. Exceções devem ser deliberadas, somente, pela Diretoria Administrativa e TI.

DESCARTE DE MÍDIAS

As mídias de armazenamento permanente ou temporário de informações devem ter tratamento seguro

para as situações de descarte, visando proteger a Instituição de exposição não autorizada de informações.
Para mais informações sobre o tema, verificar a Política de Segurança da Informação – Corporativa – Item
Descarte de Informações.

UTILIZAÇÃO DE EQUIPAMENTOS PERIFÉRICOS

Todos os equipamentos periféricos (que recebem ou enviam informações para o computador, podendo ser,
impressoras, mouses, teclados, entre outros) devem ser homologados pela Área de Tecnologia da
Informação, sendo necessária a priorização do uso seguro de impressoras e material impresso. No uso
cotidiano todos os colaboradores devem adotar a opção de timeout nas estações de trabalho, ou seja, ativar
a Proteção de Tela do Windows protegida por senha, de modo que em ausência maior que 10 minutos, seja
ativada esta proteção, salvo exceções mesas e/ou bancadas que possuam terminais de operações.

REDES WIRELESS

A Instituição possui rede sem fio configurada para comodidade e flexibilidade em acessos de natureza
específica ou extraordinária. O acesso a rede sem fio somente deve ser permitido mediante aprovação da
Diretoria de Operações e/ou Diretoria Administrativa e TI. A rede sem fio da Instituição não permite acesso
aos recursos de rede local, sua utilização visa exclusivamente o acesso à internet, de forma irrestrita.

O controle de acesso deve ser efetuado garantindo de forma confiável a restrição de acessos indevidos e/ou
maliciosos. O detalhamento deste processo está descrito no Manual de Controles Internos - Concessão de
Acessos aos Sistemas - Segregação de Funções.
REGRAS ESPECÍFICAS SOBRE SEGURANÇA DA INFORMAÇÃO – TI, SEGURANÇA
DA INFORMAÇÃO - CORPORATIVA E PROGRAMA HOME OFFICE

A Renascença, entendendo a importância da segurança da informação, possui regras específicas para que
visam proteger os ativos de tecnologia e os dados dos seus clientes. Deste modo, toda atividade
desempenhada na Instituição, bem como a ela relacionada, deverá respeitar os princípios estabelecidos nas
Políticas informadas a seguir:

Regras referentes à proteção lógica da informação da Instituição e relacionadas especificamente à Área de

TI estão estabelecidas na Política de Segurança da Informação – TI.

Regras associadas à proteção das informações e da propriedade intelectual estão estabelecidas na Política
de Segurança da Informação – Corporativa.

Regras e as diretrizes associadas à proteção das informações, bem como à execução das atividades
laborativas em domicílio, com observância aos princípios de ética, responsabilidade e diligência estão
estabelecidas na Política Programa Home Office.

Regras e ações relacionadas às melhorias e alterações com base nos riscos potenciais conhecidos e demais
assuntos de Tecnologia da Informação e Segurança da Informação estão determinadas no Comitê de
Tecnologia da Informação

SIGILO, SEGURANÇA DA INFORMAÇÃO, PRIVACIDADE E PROTEÇÃO DE DADOS

A Renascença observa e cumpre toda a legislação aplicável à segurança da informação, privacidade e

proteção de dados, inclusive (sempre e quando aplicáveis) à Constituição Federal, ao Código de Defesa do
Consumidor, Código Civil, Marco Civil da Internet (Lei Federal nº 12.965/2014) e seu decreto regulamentador
(Decreto 8.771/2016), à Lei Complementar nº 105/2001 (Lei do Sigilo Bancário), à Lei Federal nº 13.709/2018 (Lei
Geral de Proteção de Dados - “LGPD”), e demais normas setoriais ou gerais sobre o tema. Para tanto, adota as
medidas necessárias para garantir a confiabilidade de qualquer colaborador a ela vinculado que venha a ter
acesso aos dados pessoais coletados e tratados no âmbito do relacionamento com clientes, garantindo que o
acesso esteja estritamente limitado àqueles que de fato precisam fazê-lo, de forma sigilosa e confidencial, e
em observância às disposições da LGPD e demais normas aplicáveis ao tema.

Em caso de armazenamento de dados pessoais e/ou dados sensíveis relacionados aos clientes, a Renascença
respeitará os padrões adequados de segurança, sigilo e confidencialidade, ficando o referido processo sujeito
às auditorias regulatórias.

A LGPD conceitua “dados pessoais” e “dados sensíveis”, ficando tais conceitos definidos como sendo (i)
“dados pessoais”: informações relacionadas à pessoa natural identificada ou identificável; e (ii) “dados
sensíveis”: dado pessoal passível de discriminação, tais como: origem racial ou étnica, convicção religiosa,
opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente
à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

No âmbito do relacionamento com os clientes, a Renascença estabelecerá controles de governança técnicos

e administrativos internos que garantam a integridade e disponibilidade dos dados pessoais tratados, além
de garantir a conformidade com a LGPD e demais normas aplicáveis ao tema.
CONFORMIDADE

LEI ANTICORRUPÇÃO E CONFIDENCIALIDADE DAS INFORMAÇÕES

A Renascença pauta suas atividades agindo com integridade e honestidade em suas práticas gerenciais e
em suas operações comerciais, combatendo a corrupção e o suborno em todas as suas formas,
especialmente por meio de seus colaboradores, fornecedores, terceiros e administradores. Desta forma, é
vital para a Instituição que todos os mencionados tenham conhecimento e observem todas as normas
relacionadas à anticorrupção e suborno, sobretudo a Lei nº 12.846 de 01/08/2013 (“Lei Anticorrupção”).

Informações relacionadas às negociações e aos sistemas da Renascença deverão ser mantidas de forma
confidencial, inclusive em virtude da possibilidade de acesso remoto dos Colaboradores às referidas
informações. Portanto, todo cuidado deve ser tomado quanto ao que é dito, escrito ou comunicado,
inclusive, eletronicamente, mesmo que em ambiente de trabalho remoto.

Neste ínterim, todos os Colaboradores deverão proteger as informações relacionadas às atividades da

Instituição, devendo empregar o máximo dever de sigilo quanto aos dados obtidos em virtude, inclusive,
mas não se limitando, aos acessos remotos efetuados dentro do Programa Home Office.

Com vistas à manutenção de sua reputação, ao cumprimento da Lei Anticorrupção e à confidencialidade

das informações, a Renascença instituiu o Instrumento Normativo Princípios Éticos e Regras de Conduta,
cujo conteúdo deve ser amplamente divulgado e observado.

EXCEÇÃO ÀS REGRAS ESTABELECIDAS NESTE INSTRUMENTO NORMATIVO

Em havendo qualquer exceção relacionada às regras e diretrizes estabelecidas nesta Política, esta deverá ser
aprovada, em primeira instância, pela Diretoria Executiva Administrativa,Financeira e TI e pela Gerência Geral
Administrativa e Compliance.

VERSIONAMENTO

VERSÃO DATA DE REVISÃO HISTÓRICO

Versão anterior, o histórico do Conteúdo e

1 DEZ 2019 as aprovações, estão arquivados sob a
responsabilidade da Área de Compliance.

Revisão total do conteúdo e inserção do novo

modelo de normativo adotado pela
2 DEZ 2020
Instituição. Esta Política substitui o
documento POL 26 – Segurança Cibernética.